移动互联时代的个人信息安全

客户世界 | 2015年7月13日 | 2013年 | 评论已关闭 | 1472

客户世界|刘小青|2013-04-18

个人信息保护国家标准出台背景

去年315晚会两大央企泄露个人信息事件的曝光，让很多人意识到在飞速发展的网络信息时代个人信息安全正在面临空前的威胁。我们经常收到的垃圾短信、诈骗信息、陌生推销电话大多跟“个人信息”从一些特定渠道泄露有关，这些信息在一些特定渠道不但疏于监管，甚至还被监管者作为谋利工具私下交易，在不同渠道内扩散传播。虽然我国在2009年颁布的刑法修正案中对出售、非法提供公民个人信息罪、非法获取公民个人信息罪等罪名作出了规定，但由于缺乏相关罪名的司法解释，在法律适用和定罪量刑上难度较大，不足以形成警示；同时由于缺乏行业标准从企业管理层面进行有效约束，使得这种公然侵权行为愈演愈烈。

315晚会之后，关于个人信息安全保护的呼吁成为各社交媒体网站的热点。在民意推动和迫切期待下，由公信部颁布的我国首个个人信息保护国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》于2012年11月出台，并于2013年2月1日起正式实施。该指南最突出的特点是将个人信息分为个人一般信息和个人敏感信息，提出了默许同意和明示同意的概念。对于个人一般信息的处理可以建立在默许同意的基础上，只要个人信息主体没有明确表示反对，便可收集和利用。但对于个人敏感信息，则需要建立在明示同意的基础上，在收集和利用之前必须首先获得个人信息主体明确的授权。指南对贯穿于收集、加工、转移和删除等四个环节的个人信息处理进行了详细规定并提出个人信息保护的“目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确”等八项原则。

随着公信部新标准的颁布，全社会自上而下地形成了一系列联动反应：2012年12月5日，公安部成立“12•5”专案指挥部，根据前期摸排掌握的犯罪线索部署了北京等21个省区市公安机关打击侵害公民个人信息的统一行动；中国软件评测中心牵头组建个人信息保护推进联盟，开始筹备建立统一测评标准体系，该测评体系将通过对企业个人信息保护水平进行评价并颁发标识的方式为公众提供参考。12月28日，第十一届全国人民代表大会常务委员会第三十次会议通过《关于加强网络信息保护的决定》，该文件在保护公民个人信息、治理垃圾电子信息、网络身份管理等方面做出了具体规定。

根据公安机关侦破的非法买卖个人信息案中显示，这些信息的源头包括：政府机关、移动、联通、邮政、医院、银行、保险公司、快递公司、楼盘开发商等单位、这些单位的员工以及互联网黑客。在众多的信息输出源头中，政府机关、大型国有企业占据了绝对多数。而瑞星公司新近公布的《瑞星2012年中国信息安全综合报告》则指出，目前个人信息安全最主要的威胁来自黑客入侵和网络欺诈。互联网企业遭受APT攻击以及公共事业网站因第三方外包公司内网信息安全管理不严使得大规模个人信息泄密事件频发；新型的钓鱼软件层出不穷，甚至可以直接攻击银行帐户的动态口令密码，瞬间洗空帐户。

呼叫中心的客户信息安全管理

呼叫中心作为企业接触客户信息最多的渠道，每天都有大量客户数据流入，同时也产出大量数据。而客户数据的管理是企业客户关系管理的重要内容。在首个个人信息保护标准指南实施之际，我们对部分敏感行业的呼叫中心客户信息的获得、使用和监管现状进行了调查。

保险行业的电话行销一直以来饱受公众诟病，虽然近年来越来越多的保险公司使用一些公众认可度较高的短号码进行呼出，但老百姓在接到销售电话后的第一个反应总是“你们从哪里得到的我的信息？”对此，我们咨询了一家知名保险企业电销中心的负责人。

她说，电销行业自03年在国内发展到现在十年的时间，由于抢占市场的原因，实际已经形成一套制式的东西，比如客户信息的获取来源，但目前多数保险行业并不是依据这些信息直接给客户打电话推销保险，而是一般采取赠险的方式进行销售。自09年以来，保监会陆续推出了若干项保险电销的相关规定和规范，这些规定的要求要高于公信部最新出台的这个标准，但在这种情况下仍可能会有违规情况发生，主要是由于成本原因保险公司给出的赠险名单可能会比较少，销售人员使用了违规的销售手段。针对这些行为，保监会明令做出禁止，同时要求各保险公司对拒绝或投诉的用户做禁拔登记。

据了解，保监会近期连续下达了一系列规范电销市场的文件，在2012年底下达的《关于尽快遏制电销扰民有关事项的通知》中明确规定：“电销座席人员必须按正常渠道获得的名单进行销售，严禁任何机构和个人泄露在保险业务活动中知悉的客户的商业秘密和相关信息，严禁通过商业手段购买使用其他单位或个人提供的社会公众信息，严禁将保险消费者信息资料与其他单位或个人交换使用，严禁其他任何非法管理和使用社会公众和保险消费者信息。”同时指出，“各保险公司应建立完善电销电话号码屏蔽制度，电销核心业务系统中必须具有号码屏蔽功能模块。对于表示拒绝继续接听、明确要求请勿再次拨打的客户，电销人员应礼貌结束通话并在号码屏蔽系统登记，同时设定不少于1年的禁拨时限。”在今年1月最新出台的《关于规范财产保险公司电话营销业务市场秩序禁止电话营销扰民有关事项的通知》中也明确规定，对续保客户的呼出时间不得早于保单到期日前40天。

个人信息泄露最严重的后果是银行帐户被盗， 2012年315晚会曝光的招商银行信用卡中心及中国工商银行的工作人员利用职务之便监守自盗出售客户重要信息，造成多名客户财产的直接损失。

我们通过银行信用卡中心运营人员了解到，如果客户在银行开户，那么他的基本信息如手机号码、账户余额、银行交易记录等本行信息，银行呼叫中心的员工基本都能看到或查询到，而信息泄露有可能的途径主要是手机拍摄、手写记录或者病毒侵入。目前银行呼叫中心明令禁止手机、移动存贮设务、录音摄影设备的入场，同时规定呼叫中心设备不能连接外网。对于某些岗位会有更严格的安全要求，新员工在入职时都会接受严格培训，包括思想意识以及办公现场的各项管理制度。

去年315晚会之后，CC-CMM国际标准组织迅速作出反应，在新浪微博组织探讨“呼叫中心如何防止客户信息泄露”，该讨论引起行业强烈反响。一年之后我们再度回到这个话题，我们联系到CC-CMM国际标准组织总监葛舜卿先生，请他谈谈呼叫中心应如何在新标准的指导下完善安全体系建设，他从以下角度给出了具体意见：

1）流程角度。呼叫中心要建立信息安全管理流程，内容包括员工通过什么步骤或者考核才能接触到客户个人信息，在使用客户个人信息的时候如何被监督。万一发生客户个人信息泄露，管理层如何第一时间采取行动减小影响和受众群数量以及第三方人员来呼叫中心现场参观交流如何申请、如何管理等。

2）人员角度。呼叫中心要确保员工遵循信息安全管理流程进行日常工作，在接触客户个人信息以前参加并通过相关信息安全培训并签署保密协议。第三方人员在现场交流时严格遵守相关规定，不能随意拍照或者携带留有客户个人信息的资料离开现场等。

3）系统角度。呼叫中心要提高系统的安全系数，建立安全维护策略（面向对象包括移动介质、软件安全、网络安全等），同时要通过日志记录所有访问客户个人信息的行为并且通过系统限制员工不能将客户个人信息转存到业务系统以外等。

同时，呼叫中心还应设计相应的惩罚制度，明确告诉员工一旦被发现泄漏客户个人信息，无论是否给客户或者企业带来损失，都将受到公司的严惩。

他认为：标准本身对电信、银行、医院等服务机构提出了管理要求，而真正要达到标准的要求，需要企业中的每个部门都积极配合、严格把控，才能避免企业客户信息的泄露。

《信息安全技术公共及商用服务信息系统个人信息保护指南》目前只是一套推荐性技术标准，用于指导企业对个人信息进行正确的使用和管理，而个人信息安全保护作为一个全社会的课题，不仅仅是在企业内部、企业之间加强管理举措，一定需要在全社会高度重视、共同推动下才能取得成效。我们期待在未来的时日里，通过法律建设、企业内部制度自律，信息系统建设、个人防范意识提高等全方位的提升，使得这一安全危机得到良好控制和防患。

本文刊载于《客户世界》2013年3月刊；作者为本刊编辑。